A resposta aceita de fazer simplesmente Jsoup.parse(html).text()
tem 2 problemas em potencial (com JSoup 1.7.3):
- Remove quebras de linha do texto
- Ele converte texto
<script>
em<script>
Se você usar isso para se proteger do XSS, isso é um pouco chato. Aqui está minha melhor chance de uma solução aprimorada, usando JSoup e Apache StringEscapeUtils:
// breaks multi-level of escaping, preventing &lt;script&gt; to be rendered as <script>
String replace = input.replace("&", "");
// decode any encoded html, preventing <script> to be rendered as <script>
String html = StringEscapeUtils.unescapeHtml(replace);
// remove all html tags, but maintain line breaks
String clean = Jsoup.clean(html, "", Whitelist.none(), new Document.OutputSettings().prettyPrint(false));
// decode html again to convert character entities back into text
return StringEscapeUtils.unescapeHtml(clean);
Observe que o último passo é porque eu preciso usar a saída como texto sem formatação. Se você precisar apenas de saída HTML, poderá removê-la.
E aqui estão alguns casos de teste (entrada para saída):
{"regular string", "regular string"},
{"<a href=\"link\">A link</a>", "A link"},
{"<script src=\"http://evil.url.com\"/>", ""},
{"<script>", ""},
{"&lt;script&gt;", "lt;scriptgt;"}, // best effort
{"\" ' > < \n \\ é å à ü and & preserved", "\" ' > < \n \\ é å à ü and & preserved"}
Se você encontrar uma maneira de melhorar, informe-me.